Bezpečnosť systému GSM – prehľad 

posledná aktualizácia 24.5. 2004

 

Stránka obsahuje podklady pre cvičenie z predmetu Aplikovaná Kryptografia.  Podklady pre túto stránku boli získané z verejne dostupných zdrojov a boli umiestnené na katedrový server z dôvodu ľahšej dostupnosti pre študentov predmetu Aplikovaná Kryptografia. Cieľom cvičenia je poskytnúť ucelený prehľad základných zdrojov o bezpečnosti šifrovania a autentifikácie v systéme GSM. Uvítam všetky pripomienky a komentáre k uvedenej problematike.

Cvičiaci: doc.Ing. Miloš Drutarovský, CSc.

Anotácia cvičenia:

Utajované informácie o bezpečnostných mechanizmoch používaných v systéme GSM [22] začali na verejnosť prenikať v druhej polovici 90-tych rokov [1,2,3]. Systém GSM využíva algoritmy A3A8 (najčastejšie vo forme algoritmu COM128) [4] a A5 [5,6] a ich využitie je opísané napr. v [7,8]. Prelomenie pôvodného algoritmu COMP128 (špeciálnej hašovacej funkcie) využívalo možné kolízie a narodeninový paradox [1] a umožnilo praktické klonovanie SIM kariet [2,9]. V súčasnosti existuje niekoľko verzií funkcie COMP128. Pôvodná sa označuje ako COMP128-1, vylepšená verzia bez kolízií sa označuje ako  COMP128-2. Verzie COMP128-1 a COMP128-2 generujú 54-bitový kľúč pre šifračný algoritmus A5. Algoritmus COM128-3 generuje 64-bitový kľúč. V rámci projektu 3GPP bola vyvíjaná verzia COMP128-4, ktorá využíva algoritmus MILENAGE na báze algoritmu AES [9,21]. Výber algoritmov A3 a A5 je v kompetencii operátora, je však možné predpokladať, že mnohí operátori stále používajú staršie verzie algoritmu COMP128 so všetkými z toho plynúcimi bezpečnostnými rizikami.

Podobne existuje niekoľko verzií šifračného algoritmu A5. Bezpečnejšia verzia A5/1 je používaná napr. v krajinách NATO, oslabená šifra A5/2 je exportovaná do „problematických“ krajín. Existuje aj možnosť vypnutia šifrovania, tzv. algoritmus A5/0. V roku 2002 bola uvedená verzia A5/3, ktorá využíva Kasumiho algoritmus [10,11].

Existuje niekoľko útokov na systém GSM. Medzi staršie patrí napr. útok na A5/2 [12]. Značnú pozornosť vyvolala predovšetkým kryptoanalýza algoritmu A5/1 [13,14,15,16]. Uvedená metóda umožnila nájsť aktuálne použitý šifračný kľúč po zachytení 2 minút rozhovoru, pričom samotný výpočet vyžadoval približne 1 sekundu na PC so 128 MB RAM  a 2x 73 GB diskmi. Neskôr sa objavili ďalšie útoky, ako napr. [17,18] založený na korelačnom útoku. Tento útok využíva záznam (nemusí byť kontinuálny) prvých 40 bitov z približne 2^16 rámcov (približne 5 minút konverzácie). Posledný útok publikovaný na konferencii CRYPTO 2003 [19,20] umožňuje útok na algoritmus A5/2 zo znalosti len 4 rámcov (len niekoľko ms!) zašifrovaných dát. Tento pasívny útok je možné vzhľadom na vlastnosti protokolu GSM využiť na neskorší aktívny útok na algoritmy A5/1 a A5/3. Tento aktívny útok je možný vzhľadom na rýchlosť útoku proti algoritmu A5/2 a zdieľanie spoločného šifračného kľúča pre všetky modifikácie algoritmu A5. V [19,20] je tiež opisovaný útok na algoritmus A5/1 len s využitím znalosti zašifrovaného textu (5 minút záznamu, nemusí byť kontinuálny), ktorý je možný realizovať v reálnom čase s využitím jediného PC! V [19] sú uvedené aj požiadavky na výpočtový výkon v prípade potreby realizovať kryptoanalýzu algoritmu A5/1 v reálnom čase pri využití len 8 sekúnd zašifrovanej komunikácie.

Zdroje:

  [1] V. Klíma, T. Rosa, “Bezpečnost mobilních telefónu – GSM pod tlakem klonování“, CHIP 7/1998, s.134, 135, 136

  [2] V. Klíma, T. Rosa, “Bezpečnost mobilních telefónu – Karta a její klíč“, CHIP 8/1998, s.114, 115, 116

  [3] V. Klíma, T. Rosa, “Bezpečnost mobilních telefónu – Duvernost a šifra v GSM “, CHIP 9/1998, s.148, 149, 150, 151

  [4] M. Briceno, I. Goldberg, D. Wagner, “An implementation of the GSM A3A8 algorithm.  (Specifically, COMP128.)”, a3a8.c

  [5] M. Briceno, I. Goldberg, D. Wagner, “A pedagogical implementation of the GSM A5/1 and A5/2 "voice privacy" encryption algorithms”, a5_1-2.c

  [6] “The GSM Security Technical Whitepaper for 2002”, January 2002, [htm], a5.c

  [7] C. Brookson, “GSM (and PCN) Security and Encryption”, 1994, http://www.brookson.com/gsm/contents.htm, pp.1-7, [pdf]

  [8] M. Demeter, “Bezpečnosť systému GSM”, [htm]

  [9] C. Brookson, “Can you clone a GSM Smart Card (SIM)?”, July 2002, http://www.brookson.com/gsm/contents.htm, pp.1-2, [pdf]

[10] Vybrané 3GPP normy,A3 and A8”, “A5/3 and GEA3

[11] “Comparison of Airlink Encryptions”, QUALCOMM white paper, pp.1-6, [pdf]

[12] S. Petrovič, A. Fúster-Sabater, “Cryptanalysis of the A5/2 Algorithm”, Cryptology ePrint Archive, Report 2000/052, http://eprint.iacr.org, 2000, [pdf]

[13] A. Biryukov, A. Shamir, D. Wagner, “Real Time Cryptoanalysis of A5/1 on a PC”, Advances in Cryptology, proceedings of Fast Software Encryption’00,  Lecture Notes in Computer Science 1978, Springer-Verlag, pp.1-18, 2001, [pdf]

[14] V. Klíma, T. Rosa, “Bezpečnost mobilních telefónu – Šifra v GSM prolomena! (1)“, CHIP 2/2000, s.38-41

[15] V. Klíma, T. Rosa, “Bezpečnost mobilních telefónu – Šifra v GSM prolomena! (2)“, CHIP 3/2000, s.42-44

[16] L. Tarkkala, “Tik-110.551: Attacks against A5”, Tik-110.551 Seminar on Network Security, pp.1-15, [pdf]

[17] P. Ekdahl, T. Johansson, “Another Attack on A5/1”, Full paper, IEEE Transactions on Information Theory, Vol . 49, Jan, 2003, [pdf]

[18] P. Ekdahl, “On LSFR based Stream Ciphers, Analysis and Design”, Lund University, Ph.D. Thesis, November 21, 2003, pp.1-176, [pdf]

[19] E. Barkan, E. Bihan, N. Keller, “Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication”, CRYPTO 2003, pp.1-18, [pdf]

[20] G. Rose, “A precis of the new attacks on GSM encryption”, QUALCOMM Australia, September 2003, pp.1-3, [pdf]

[21] P. Kitsos, N. Sklavos, O. Koufopavlou, “An End-to-End Hardware Approach Security for the GPRS”, pp.1-4, [pdf]

[22] J.G. Sempere, “An Overview of  the GSM System” [htm]

Pocet návštevníkov:
[CNW:Counter]